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Análisis de aplicaciones en iPhone 
El caso de CoronApp-Colombia 


En este informe describimos cómo hicimos nuestro primer 
análisis de una aplicación en iOS, específicamente de una 
versión reciente de CoronApp - Colombia, la cual ya habíamos 
revisado en una versión previa para Android. Este nuevo análisis 
en iPhone nos permite extender nuestros análisis para ver que 
la aplicación muestra mejoras en seguridad digital y temas de 
privacidad, aunque todavía hay pendientes y falta por hacer\ 

Hasta ahora, los informes de análisis de aplicaciones para 
smartphones y tabletas que hemos publicado desde K+Lab -el 
laboratorio de seguridad digital y privacidad de la Fundación 
Karisma- se han centrado en el sistema operativo Android. Hasta hace poco, no 
habíamos desarrollado la capacidad para analizar una aplicación desde un sistema 
operativo Apple. La razón de esto es que si el modelo de Apple se enfoca en una 
experiencia del usuario agradable y en seguridad y privacidad reforzadas, los 
dispositivos Apple -en particular los iPhones- "tienen su capot cerrado y sellado". 
No es fácil - para un usuario e incluso para un técnico - "acceder al motor" para 
analizar su funcionamiento interno. 

A través de este análisis explicamos cómo la aplicación CoronApp - Colombia no 
es la misma en Android que en iOS. La aplicación en iOS es más respetuosa de 
la privacidad no solo porque requiere menos permisos, también porque ofrece 
más información. Resaltó que los fallos que habíamos revelado en abril fueron 
arreglados y que hay permisos que otorgamos a Apple y que nos tocó investigar 
más a fondo. 



CoronApp 


L o ^ 


1. Este artículo se basa en análisis realizados en mayo, junio y agosto 2020 sobre la aplicación CoronApp - 
Colombia instalada en un iPhone 7. Los ejemplos que se citan se refieren en su gran mayoría a los análisis de 
agosto, en las versiones 1.0.28 y 1.0.29 de la aplicación (en caso contrario se menciona explícitamente). Atención, 
la numeración de las versiones para iPhone y para dispositivos Android es distinta. 
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1. Metodología de análisis, las 
particularidades de Apple 


La metodología que usamos para analizar la aplicación CoronApp - Colombia en un iPhone se 
parece a la que usamos para Android. En particular el análisis dinámico que consiste en revisar 
los flujos de datos enviados y recibidos por el teléfono y la aplicación en funcionamiento normal. 
Sin embargo, el análisis desde iPhone tiene particularidades: la instalación del certificado que 
permite interceptar el tráfico HTTPS es distinta, es más difícil acceder y analizar el archivo de 
instalación de la aplicación. En cambio es fácil acceder a los logs generados por el teléfono y 
estos pueden revelar información interesante. 

1.1 Sin salir de la cárcel 

En Android se puede hacer lo que se conoce cómo un "root" del dispositivo, desbloquear el 
acceso a funcionalidades del sistema operativo a las cuales normalmente no se puede acceder. 
Para los dispositivos Apple (cómo los iPhones e iPads) existe el equivalente, llamado el jailbreak, 
literalmente "romper o salir de la cárcel". Hacer un jailbreak permite, por ejemplo, instalar 
directamente aplicaciones sin pasar por la tienda de Apple, y por lo tanto instalar aplicaciones 
que no están en la lista autorizada por Apple. Existen varios sitios que proponen herramientas 
para realizar el jailbreak de un dispositivo Apple^. 

Sin embargo, este proceso puede impedir actualizaciones futuras del dispositivo o perturbar su 
funcionamiento. La empresa Apple se opone al jailbreak y la garantía del dispositivo ya no está 
asegurada en caso de hacerlo. Apple lo expresa así en su sitio web: 

"Apple advierte encarecidamente en contra de la instalación de cualquier software que 
piratee iOS. También es importante tener en cuenta que la modificación no autorizada de 
ios supone una violación del contrato de licencia de software del usuario final de iOS, por 
lo que Apple podría negarse a reparar cualquier iPhone, iPad o iPod touch en el que se 
haya instalado software no autorizado."^ 


2 Por ejemplo éste: https://checkra.in 

3 com/es-es/HT201954 
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Aunque hacer un jailbreak del iPhone para 
analizar aplicaciones es una vía posible, en 
línea con nuestra filosofía de que debemos 
poder hacer control por vías legítimas de las 
tecnologías, decidimos tomar otro camino. 
Usamos la herramienta Apple Configura- 
tor 2^ que permite configurar el teléfono de 
manera más granular a través de lo que se 
llama "perfiles". Los perfiles permiten, por 
ejemplo, redirigir el tráfico del teléfono para 
analizarlo, mediante la configuración de un 
servidor proxy; instalarle nuevas autoridades 
de certificación. Además Apple Configurator 
permite acceder a los logs internos del dis¬ 
positivo a través de su "consola". La instala¬ 
ción de un perfil en el dispositivo necesita 
que este esté en un estado llamado "supervi- 
sado"^ En caso contrario la instalación de un 
perfil en el dispositivo (desde Apple Configu¬ 
rator o un servidor MDM) no funciona: 



La supervisión permanente® de un dispositi¬ 
vo Apple necesita la creación de una cuenta 
Apple Business o School Manager. Sin duda 
es una limitación ya que un individuo sin vín¬ 
culos con una organización no puede hacerlo 
por cuenta propia. Nosotros lo pudimos ha¬ 
cer creando un perfil para la Fundación Ka- 
risma y supervisando el iPhone que querría¬ 
mos analizar con el Apple ID de esta cuenta: 



4 


?mt=12 


5 Apple ofrece la siguiente definición de un dispositivo supervisado en su sitio web: "Se trata de un dispositivo 
con un nivel de gestión más granular, lo que permite restricciones como desactivar ¡Message o Game Center. Un 
dispositivo supervisado también proporciona características y configuraciones de dispositivo adicionales, como 
filtro de contenidos web y la posibilidad de instalar perfiles de configuración y apps en segundo plano.", https:// 

Al supervisar un dispositivo, se resetea 


completamente. 


6 Aparentemente, existe una forma de supervisar el dispositivo de manera temporal y sin tener una cuenta Apple 
Business o School manager. No está documentada por Apple y no la hemos probado porque implicaba borrar el 
dispositivo, con sus archivos y su configuración, por completo. 
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Hacer la supervisión permanente del dispositivo nos permitió instalar el perfil con la 
configuración adecuada para nuestros análisis, como se detalla más adelante. Esta cuenta 
también nos dió acceso a una documentación para desarrolladores que no está disponible de 
forma abierta en Internet^. Para acceder a los logs internos del teléfono a través de la consola 
de Apple Configurator, no es necesario que el dispositivo sea supervisado de manera temporal 
o permanente, como tampoco lo es tener una cuenta Apple Business o School Manager. 


Sin embargo, sigue existiendo una limitación que 
tiene que ver con otra particularidad del modelo de 
Apple: lo de Apple se enchufa bien con lo de Apple. 
El programa "Apple Configurator 2" que es central 
para hacer los análisis que hicimos, sólo se distribuye 
para MAC®. Apple no distribuye versiones para Linux 
ni para Windows y las alternativas que hemos visto 
son insuficientes para lo que necesitábamos hacer. 
Hay que mencionar que este no era el caso de la 
versión anterior de Apple Configurator, llamado 
"iPhone Configuration utility" que también estaba 
disponible para Windows®. Para hacer una parte de 
la configuración del teléfono y de los análisis usamos 
un MAC Mini con el programa Apple Configurator 2. 



1.2 Instalación de la aplicación: del APK al IPA 

En Android, la instalación de una aplicación se hace mediante una archivo APK (Android 
Application PacKage). El sistema operativo Android permite hacer la instalación mediante la 
tienda de Google pero también mediante otras tiendas alternativas (APK Mirror, F-Droid, 
etc.), que permiten descargar el APK e instalarlo en el dispositivo. Incluso se puede descargar 
directamente el APK y hacer manualmente la instalación (es necesario tener una configuración 
de seguridad que admita instalar archivos desde otras fuentes, pero es posible). 


7 Por ejemplo, sin estar conectaido con un Apple Id, no se puede acceder a estos documentos técnicos: 

=io 

8 Ver por ejemplo la respuesta a la pregunta "We run Windows. Can I Use Apple Configurator?" en el sitio de la 
compañía Simple MDM, especializada en "Mobile Device Management": 


9 Todavía se puede encontrar en Internet (aquí por ejemplo: 

el software no está actualizado desde enero 2013 y desaconsejamos su uso. 


. Sin embargo 
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Para los sistemas Apple es distinto. Para instalar una aplicación en un dispositivo, se debe pasar 
por la tienda de Apple, el App Store^°. El proceso de instalación es transparente para el usuario 
y él no "ve" el archivo de instalación. Entonces, que sepamos, no hay manera de acceder a las 
versiones anteriores de una aplicación dada, cómo se puede hacer para Android con algunos 
sitios que indexan los APK de las aplicaciones". 

El archivo de instalación de una aplicación Apple tiene una extensión que se llama IPA ("iOS App 
Store Package"). Tiene un formato que no ha sido liberado por Apple. El Appstore lo descarga 
y lo instala directamente. Antes era posible acceder al archivo ".ipa" desde iTunes pero Apple 
eliminó esta posibilidad. 

Sin embargo, hay otras formas. Una, es instalar o actualizar la aplicación, no desde el teléfono 
sino desde Apple Configuratoñ^. En este caso el archivo IPA se podrá encontrar en la siguiente 
carpeta cache: 


“~/Librany/Gnoup Containers/K36BKF7T3D.gnoup.com.apple.configurator/Li- 
brary/Caches/Assets/Temporaryltems/MobileApps”^^ 


Otra forma de acceder al archivo es usar una herramienta como OWASP ZAP" para capturar el 
tráfico mientras se instala la aplicación desde el AppStore. En el caso de CoronApp-Colombia, 
aparece esta solicitud hacia el dominio "iosapps.itunes.apple.com" de un archivo IPA cuyo nom¬ 
bre termina por"908847.thinned.dpkg.ipa": 


GET 


https;//iosapps. ¡tunes. ^pple.cafn/ituneS‘‘assets/Purplel24/vj 
77171fift71 QCIHH47.thínnet1.sÍgnpd.dplcg!Jp¿i^;3rcfk«iKKey- 

kc 4 O C a o %20 s n m %2F 8d z d OX e o L q L a e j a q W b b %2F h 2R p wM QS ÍIJxO¡4wpFmnaCpDaTWnMITFfzaOJrrOtaXffrT4TIFKrscqLí5ZNKZIñ\i 
ESI6pfNXl6%2OVlxFJ7vX0kyxEibgjMVXCjUGpT7NVIPRVTdtWwukov5LESbz5tiuW3B7|rQaqcy22y7X%2FDNK£O81fEOKgürq$KA%3D 
%30 HTTP/1,1 


Apple-Download-Typc; r<^download 
Accept: */* 

User-Agent; com,apple.appstored/l,0 ÍOS/13,S.l model/lPh<]ne9^3 hwp/t8010 buÍld/17FeO (6; dt:l39} AM5/1 

Accepti'Language; es*es 

Conn^ction; keep-alive 

Host; iosapps.itunes,apple,cam 


10 Salvo si el dispositivo tiene un "jailbreak", como se mencionó anteriormente pero por defecto, la regla definida por 
Apple es que: "En el iPhone, iPad y iPod touch, todas las apps se obtienen de App Store (y todas las apps se "aíslan") 
para ofrecer los controles más estrictos.", 

11 Por ejemplo, en este sitio: https://apkcombo.com/es-co/ 

12 En nuestro caso el teléfono se conecta por cable USB al computador que tiene Apple Configurator. También se pue¬ 
de hacer remotamente desde un servidor MDM (Mobile Device Management). Ver aquí: 


13 

14 Ver más adelante para la instalación de la autoridad de certificación de OWASP ZAP en el dispositivo. 
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En esta solicitud del archivo IPA, se pueden observar varias cosas: 


la aplicación ya había sido instalada (“Apple-Download-Type: nedownload”) ; 

la versión del archivo ".ipa" que se descarga es una versión "adelgazada" y firmada 
(".thinned.signed") que sólo contiene la variante de la aplicación con los elementos 
necesarios para nuestro dispositivo'^; 

se hace una autenticación con una clave de acceso ("accessKey="). 


En la respuesta, el servidor manda el archivo ".ipa" de la aplicación CoronApp-Colombia: 


Encabezamiento: Vista Raw ▼ 


Cuerpo:Vista Raw 


O O 


HTTP/1.1 200 OK 
Server: ATS/8.0.8 

Date: Sat, 01 Aug 2020 11:23:55 GMT 
Content-Type: application/octet-stream 
Content-Length: 7650539 

X-Responding-Server: massilia protocol_037:737002003:msl2p01if-qujn03021901.ms.if.apple.com:8082:20M16: 
c7099bcbclb4 

X-Apple-Request-UUID: d376el88-0e96-417b-a6f4-568b3aef3cfa 
X-iCLoud-Availability: [B^ R, PL] 

ETag: " 15B7A4402F3221B11DEE4AADD5A5B204" 

X-Apple-MS-Content-Length: 7650539 
X-iCloud-Content-Length: 7650539 

X-Apple-Request-UUID: d376el88-0e96-417b-a6f4-568b3aef3cfa 
accept-ranges: bytes 

x-icloud-versionid: 8a86cc90-d3db-llea-9511-b8599ff8fl9a 
Last-Modified: Sat, 01 Aug 2020 09:44:06 GMT 
Cache-Control: prívate 

Strict-Transport-Security: max-age=31536000; includeSubDomains; 

X-D L B -U p st re a m: 10.117.103.138:8082 
Access-Control-Allow-Origin: * 

Access-Control-Allow-Methods: HEADj, GETj, PUT 
Access-Control-Allow-Headers: range 
Access-Control-Max-Age: 3000 
Access-Control-Allow-Credentials: false 
Access-Control-Expose-Headers: * 

Age: 1428270 

Via: https/1.1 usqas4-vp-vst-004.ts.apple.com (ApacheTrafficServer/8.0.8)j https/1.1 usqas4-vp-vfe-009.ts.apple.com C 
ApacheTrafficServer/8.0.8)j, http/1.1 usmial-edge-lx-002.ts.apple.com (ApacheTrafficServer/8.0.8], https/1.1 usmial-edge- 

yD^Do[]ynÉ/6ni.ó[]YR|ÁnDQPDDDDPlHDaeDDáaDZDDDi~0DDt"ÁDG@"3eiDDü|Án±ó+DÓ DDtÁ-[Ú4nioDDlp<:-]^aDüG 5Qi£íp]oHDDlD"lXlCDDOzé§i/4 
.DÍDOD#RDI[]/En![yE[]Dá'O\"By4H;KrDkñDD9m^[]yxn*Dhw:j]yXlDÓKaií~D[ííí&DD‘íí^0\Dl-Dü'óS DD^DY^Áol ég Dl@" SnC 

Y& A_pD^G![lA5áD£gYx0É'C'k?n[]1lDp!HEé-slDD'Vf6DDé"Dt5lptÜniñ~DáKB[]yÚ«!yD[lA=nlDM'DD[lAFA6Q'nKi[]YLi2$Ü©DD“/4ÍL'ÓDDqDKqñ 
>í@11A/xOáj¡5,Aí-VbmÉ ?séOqDÍ|íl 
Vnój]8é:Ó 

MáUQ+QÓHQQ£Fe! oil"'D<D®^RDiÜD[l/'c[]VCá/kGkQ: / WOCn4~[]y9Di3QOáQtinDDaeúynn2üyn[]üWQ@P'<QQé}nnnioTú«íáé?»PÑÑóQ"g 

cAn^/!ADDlD£DáDóoÓ róhÉBDd@%ng gDD D[LD:[pA,_DÑqnR;DD ÚDDdDD ATnOD#[]UnDü^DDSlfCDD DDlí3DRDf&DD&FKíKDAn-^PyfEA 
Rá;DDüDDl<ÜV11QhDCl®OHbÓ£í,yA"eán±^ÓnD'CDéUD=DD2/-:-'=D/áD#Dó=Kü#n20nÉAD--;QÍDDDÁsá|3É$Aú"@nóDDDD*-CeSo<<háÓD‘í¿¥Dün 
q-iYAiO=d^ÁgíEbÑgO[][][]zBy>[1Á^[]N&3[]N[]£Ú;óh![].framework/Info.plistUXe9% 7[]$ ÉEbvxná O á6bplist00R[][][] DDDDDQ 

#$"%&' Oj]DBu'ldMachineOS|]|]á[]_ODCFBundleDevelopmentRegion_|]|]CDéExecutable8|]ñ|]+ldéifier_|]|]0|]í 

nf o D i ct @ ga ry Ve rs 

h[|VÁBNamn[]éPackageTyp[]n[]áShort :éString []gO[]gignatur81óÁ3uppÍedPlatformsj]D(l léZDTCompil[]®É+[]DTó[][]h[]''ó[]<:h[][]ó8 
@E.SDKjñP[]Y[j)éWDTXcode\ 0!Sé|]MinimumOS =A*^UIá 

iceFamilyU19G73RenYAlamofioííDorg- cíJ4;[]'5|á[]t4R<;s[][]3#$"^Óx©Ys-[yElA»U' Ñ x-ÁC[]g' 0Yh^^E_©ll[]O[][]Ü^O9^DD'^±f ■ 4-Q' ^ 

á 0'’ RQÉip- H ^V^aB qí 

Ez'+JA5AúDDqpDPDDS8E708S8.0<t*+DDD D5Kg|D±^4ÓñDDD"D4D?DQD'DtDDDDDDDDD±DA[yEDÉDÓníDñDíjDü Da d^^BGTY 

d g ippl D^df^a kobvxíPKpDDDÍ'DDQEDPayload/CoronApp-Colombia.app/Frameworks/BluetraceCoronapp.framework/UX 
e9%_^9% ÉEPKDDDDH lyPTDPayload/CoronApp-Colombia.app/Frameworks/BluetraceCoronapp.framework/ CodeSignature/UX 
e 9% 7ns É É P KTinnncl nnQ± fnu nÁÓ 7Anm l w dTQ! e: x n< ne n2é E a É nvnóí Ú é»3zQnC8rÚW nnná nf e ■ nó !Á=^ nrnG nSÉ Q n^nt n+ í é i 51C" n: 1: ó £ ni 


15 "A thinned .ipa is a compressed app bundie that contains oniy the resources needed to run the app on a specific 
device. Bitcode has been recompiled, and additional resources needed by the App Store", 

"Thinned IPA files for each variant of your app. These files contain assets and binarles for oniy one variant.", 
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La parte superior muestra la cabecera de las respuestas que incluye metadatos cómo el tamaño 
de este archivo comprimido (7.650.539 oct). En la parte de abajo se puede observar una parte 
del contenido de este archivo, no toda es legible pero aparece por ejemplo la inclusión del 
framework que usa el protocolo de rastreo de contactos cercanos "Bluetrace": 


“Payload/CoronApp-Colombia.app/Fnamework/BluetnaceCononapp. 
framework” 


1.3 Permisos 

Los permisos que aparecen al instalar y usar la aplicación son los siguientes: 


SnSIM 

^ Atfés OononApp-Cfllombia 

Pf BMlTlítOUE ACCFCM a 


Q Ubioacidfi 
Q Siri v Guscsr 


O 


O 


ílSp.m. ■ 

<1 Atrás UbÍMCÍÓn 

PERMmR ACCESO A UfllCACKÍiN 

Nunca 

Preguntar la prójíims ves 

Al usar la app «/ 

Siempre 

P*E^rlp4;i^ Lx lúlkrtj uj parJ 

reOnlrnr rthigai 4n donde rígiiUael nindosCtuít de 
snliad 


O 


rz \ 




Incluyendo el de "Siri y Buscar" -que deja algunas preguntas que se discuten más adelante- esta 
versión de Coronapp_Colombia para iOS requiere cuatro permisos, muchos menos de los 11 de 
la versión actual para Android, que son los siguientes: 

accesos a ubicación aproximada (ACCESS_COARSE_LOCATION); 

acceso a ubicación fina (ACCESS_FINE_LOCATION) ; 

acceso ai estado y ias conecciones de red (ACCESS_NETWORK_STATE) ; 

vincuiar con dispositivos biuetooth (BLUETOOTH); 

acceso a ios ajustes de biuetooth (BLUETOOTH_ADMIN); 

hacer llamadas telefónicas (CALL_PHONE) ; 

ejecutar un servicio de primer piano (FOREGROUND_SERVICE); 

tener acceso completo a la red Internet (INTERNET) ; 

impedir el teléfono entre en modo de suspensión (WAKE_LOCK) ; 

verificar de donde se hizo la instalación, necesario para su integración con Google Play (BIND_ 
GETJNSTALL_REFERRER_5ERVICE) ; 
recibir mensajes de notificación (RECEIVE). 
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La primera conclusión es que la aplicación CoronApp-Colombia tiene menos permisos y de 
cierta forma está más controlada en un entorno Apple que en uno Android. Quizás se deba 
a que la tienda de Apple es más exigente en cuanto a los permisos y la privacidad. Como lo 
veremos más adelante algo similar pasa con la información entregada a la persona usuaria, 
que es más completa en la versión para iPhone. 


En el primer uso de la aplicación, se 
piden las autorizaciones al usuario 
de la siguiente manera, para el 
accesoa la ubicaciónyal Bluetooth'®: 




CoronApp 

Ayúdanos 
a recolectar 


'CüfonApií-Colombia'' quiere 
acceder a Bluetocth 

CCifCkkApfj iÍMCrCJ)nlb;> dé 

fntami atrilcHídii. Eataa 
wPtatflí vn? ¡apirtifitííkin 

ír^ínmo.. qg® psííomjriplwfo V CíJinbiw 

parí gafjjnliiar tu 

privépídad. 



¿Permitir a ''CoronApp- 
Cplptnbia'' utilizar tu 
ubicación? 

La Hücila iv lAicKí^n píir^ 

fli tugar flfi donde megiMre el 
estada actual üe salud. 

Permilir al ut^ar la Jtpp 

01 is 

Permitir una vez 

Ali la 

^ Mo perimUif 


Fmfi^rar 


De hecho, el sistema operativo iOS impone que para cada permiso que se otorga a una aplicación, 
se le pida la autorización a la persona usuaria. Y en ciertos casos - como aquí para el permiso 
de acceso a la ubicación - hay más granularidad y se ofrece más información que en la versión 
para Android. 

En cuanto a la ubicación hay otra diferencia importante. Aunque no se distingue en el momento 
de pedir la autorización al usuario, en Android, hay técnicamente dos tipos de permisos de 
localización que puede usar una aplicación: la localización gruesa (ACCESS_COARSE_LOCATION) 
y la localización fina (ACCESS_FINE_LOCATION). Google las describe así en su sitio web^^: 

android.permission.ACCESS_COARSE_LOCATION: Permite que la API utilice Wi-Fi o 
datos móviles (o ambos) para determinar la ubicación del dispositivo. La API muestra la 
ubicación con una exactitud que equivale aproximadamente a una manzana. 
android.permission.ACCESS_FINE_LOCATION:Perrr\\te que la API determine la ubicación 
más precisa posible mediante los proveedores de ubicación disponibles, incluido el 
sistema de posicionamiento global (GPS), así como Wi-Fi y datos móviles. 


16 También se pidió una autorización para enviar notificaciones con el mensaje siguiente: "CoronApp-Colombia 
quiere enviarte notificaciones - Las notificaciones pueden incluir alertas, sonidos, y globos, los cuales se pueden 
definir en Configuración - No Permitir - Permitir" 

17 Ver aquí: Oltu 
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Para Apple, se usa el framework "Core Location" que puede usar indistintamente el GPS, el WIFI, 
los datos móviles, el Bluetooth e incluso otras herramientas del dispositivo (magnetómetro, 
barómetro) para determinar la ubicación del dispositivo. Esta parte técnica es transparente de 
cierta forma. En cambio la autorización se enfoca en la posibilidad de una ubicación permanente, 
al usar la aplicación o puntuaP®. 


Sin embargo, una autorización que está en 
iPhone y no en Android es la que tiene que ver 
con "Siri y Buscar": 


♦ " 

S 

SirSIMT 9105 p.m, 

^ Atrás Siri y Buscar 

r. 

EN CORONAPP-COLOMBIA 

Aprender del uso de esta app 

€3 

Permite a Siri aprender qómp meas CorqnApp-Colqmbia 
para realizar sugerencia a en las apps- 

ENLA BÚSQUEDA 

Mostrar en Buscar 

€3 

Sugerir atajos 

€3 


Permitir qu& Buscar y Consultar muestren información o 
sugerencias de atajos para CorcnApp-Colombíaj las 
cuales se basan en tu uso de la app. 


EN LA PANTALLA BLOQUEADA 

Sugerencias de Siri 


O 


Permitir sugerencias de Atajos en la pantalla bloqueada 
según como uses CoronApp-Colombia. 


Siri es la inteligencia artificial con funciones de asistente personal con reconocimiento de voz, 
para los sistemas operativos de Apple IOS. Esta serie de autorizaciones no se pedían para el uso 
inicial de la aplicación, en cambio las otras sí. Tiene que ver con el hecho de proponer al usuario 
sugerencias, información y atajos relacionados con el uso que se hace de CoronApp-Colombia. 
Detrás de esto hay también una pregunta importante que tiene que ver con la privacidad: 


"¿Cuales son los datos relacionados con nuestro uso de CoronApp-Colombia que 
Apple colecta cuando esta serle de permisos están activados?" 


18 https://developer.apple.com/documentation/corelocation/requesting authorizatíon for location Services 

19 https://es.wikipedia.org/wiki/Siri 
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Según la política de privacidad de Apple, Siri procesa casi toda su información localmente sin 
transmitirla a los servidores de Apple. La información que se envía no está conectada al Apple 
ID sino a un número aleatorio. En los análisis de flujo no detectamos información enviada a los 
servidores de Apple más allá del uso de la aplicación CoronApp-Colombia, lo que se analiza en 
la parte 2.4 de este informe. 

En todos los casos, para aplicaciones que manejan datos personales sensibles incluyendo 
información de salud cómo CoronApp-Colombia, nos parece que esta serie de autorizaciones no 
debería darse por omisión. 

1.4 Una información más detallada en iPhone 

Este punto ya apareció en la parte previa. Cuando se solicitan los permisos, hay más detalles 
en la información entregada desde iPhone. Por ejemplo, volvamos sólo a mirar la solicitud de 
acceso a la ubicación, comparando una versión de CoronApp-Colombia del 19 de agosto en 
Android y la de iPhone: 



IPhone 


sin &IM ^ 


4:14 P. m. 


¿Permitir a ''CoronApp 
Colombia" utilizar tu 
ubrcación? 


Lfl Aplicación soitcíta cu ufeicacion para 
r^gicirar el lugar en donde regielra el 
estado actual de salud. 


9 ¿Permitir a CoronApp acceso a la 
ubicación de este dispositivo? 


Rechazar Permitir 


Pf^rmitir a\ u.<;3r la app 
Permitir una vez 
Ho permitir 


Android 


20 https://www.apple.conn/privacy/ 
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Es sorprendente constatar que -además de la mejor granularidad de la autorización- hay un nivel 
de información mejor para iPhone: se precisa la finalidad del acceso a la ubicación ("registrar el 
lugar en donde se registra el estado actual de salud"^^). 

Para el Bluetooth, igual la información directamente accesible al usuario es más detallada. 

Por otra parte el "Historial de versiones" de la aplicación es más detallado en su versión de 
AppStore que en la del Play Store. Por ejemplo los cambios hechos en las versiones recientes 
(posteriores a abril) no aparecen en Android y para iPhone sí, como se puede observar aquí: 


^ Oi Kill .il 1Q ?3:p. m. 

y CúrortApjó ■ Colombia 

^ üelaltfs 

mi de Abril 2020 

■ $& ajusta el flujo de síntomas ampliando la 
oanlídad de preguntas y el diálogo del resultado del 
riiagrásticó. 

10 de Abril 2020 

' Se rreiórdi el autodiagripslioo, eí: agregan más 
recDmendaciones en la sección: Reportar los 
Sinftomssj se agregan nuevas lineas de atención', se 
mo|ora el servicia para la visual Ilación de cifras. 

14 de Abril 2020 

' $e actualiza el formularla de registro familiar 
para identificar solo a los parientes que viven en la 
rrisma ubicación. 

Las demás actuelizaciones presentan las 
respectivas novedades en cada publicación 

Novedades * 

En la sección Estatus de movilidad se actualiza al 
dHíretc 1076 de 2030. 




Android / Play Store 



Apple / App Store 


Aquí se ve por ejemplo que los cambios en las últimas versiones y en particular la re-introducción 
del rastreo de contactos cercanos vía Bluetooth no aparece en el historial de la aplicación en el 
Play Store mientras que sí se detalla en el App Store. 


21 Una verificación en la captura de flujo (ver parte 2) muestra que efectivamente es el único momento en el 
que se transmite la ubicación del dispositivo. 
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1.5 Uso de Apple Confígurator y acceso a los logs internos 

Apple Confígurator, en su funcionalidad de "consola", permite acceder a los logs generados por 
el dispositivo y sus aplicaciones y guardarlos en un archivo: 


• • • 





iPhone de fundación 


< 

□ 




O 

? Q Buscar 

Atrás Visualízacién 

Añadir 

Proyectos 

Preparar 

Actualizar 

Copia de seguridarl Etiü:;?'.:; 

Ayuda 


(j) Información 

A Apps 

^ Perfilea 


Aug 15 12^00:31 IPhone-de-Furdacion aps[f[109] AP&Courier <private> adjustirig connection. Caanectad oíi 1 

interfaces. Current link quality: <priv3te> 

Aug 15 121:09:31 IPhone-de-Fundaclan apsP[10?] <prlvata> caaJseProKy: NO IsNearby: NO 

Aug 15 12:00:31 iPhüne-de-Furdaciaa aps[f[109] <íJotice>: <private> calling _cünnect5tream with interface preference Hone 

Aug 15 12:00:31 iPhane-de-Fundacian apsd[109] -iNotico: *iprivata> _coarectStreani has Naae preference and dual charnel 

is enabled. 

Aug 15 12:09:31 IPnane-de-Furdaclon apsd[l0S] -íHotlco: *;prlwate-> _caarect5trean] - Klcklng WWAN for dual cbannel 


Aug 15 12:00:31 IPhone-de-Fundacion aps{fll09J <fJotice>: <private> attempting to _conrectStream. currently onlnterface 
NurtCcllular cunsccu LivcFallur ts 0 prcrtieiii-c WWAN sliuu iJUst^DualCiidiiiiel ^ES. Curincc Lcd un 1 IriLcr faces. 

Aug 15 12:09:31 iPhanc de Fundación □psd[100] ^oticc^: _gctClicnitIdcntity: olrcady hod identity: ^priwato 


Aug 15 12 : 09:31 IPrujne-de-Furdaclon apS'il[l 0 ?] <Notlce>: <prlyate> _corineetstream - dual chanriel witn l connected 
íLnterfaces. islíMAHUsable MO, isWiFiUsahle VES. Not attampting io- connect. 

Aug 15 12 : 09:32 iPhone-de-Furdacion nsurlsessiond(lihusrtep.dylibj [1231 ^íMotice:»: tcp_±imers [Cl& 4 . 1 : 2 ] reiransmit SVN 
seq=40046S8436 3 

Aug 15 12:00:32 iPhcine-de-Furdacicin: nsurlsessiondílihusrtcp.dylib} [128Í ^Noticei*: tcp_output [C164.1:2] flags-[5] 
seq=4004698436, ack=0, win=65535 state=SYN_SENT rcv_nxt=e, snd_uria=400469B436 

Aug 15 12 : 09:32 iPhcine-de-Furdac.iíin nsurlsessiondílihusrtcp.dy lib} [ 12 B 1 <Notice>: tcp_tiniers [Llb 5 . 1 : 2 ] retransmit 5 YH 
scq -4024917215 3 

Aun -i nin i r1 c-a c-c-i¡ nnj^ fl i i r n 1-j h 1 fl'>9 1 -(-.-n niif-r.ii+ m^E; 1 . 1 -Tliinf-rCl 


Este acceso a los logs internos necesita un acceso físico al dispositivo (conexión USB) y no se 
puede hacer remotamente con un servidor de gestión de dispositivos móviles (MDM). Contienen 
mucha información técnica - que en general es autodescriptiva^^ - de la cual toca extraer la que 
corresponde a la aplicación analizada. Hay logs generados por el sistema operativo, por otras 
aplicaciones y los que nos interesan, los generados por la aplicación CoronApp - Colombia. 

En la versión de mayo que monitoreamos, varios tipos de logs estaban activados, en particular 
algunos que tienen que ver con el uso SSL/TLS (usado en las conexiones HTTPS) y con el 
diagnóstico de Bluetooth (bluetoothd), cómo estos por ejemplo: 


May 26 21:36:43 iPhone-de-Fundacion CoronApp-Colombia(libboringssl.dylib)[1047] 
<Notice>: boringssl_context_info_handler(1983) [C17.1:2][0x10e024880] Client handshake 
State: TLS Client read_server_certificate 

May 26 21:36:57 iPhone-de-Fundacion bluetoothd[77] <Notice>: Application "co.gov.ins. 
coronapp" is still at pid 1047, with State "foreground-running" 

May 26 21:38:08 iPhone-de-Fundacion bluetoothd[77] <Notice>: Received 'stop sean' 
request from session "co.gov.ins.coronapp-central-1047-37" 


22 No existe documentación pública de Apple sobre los logs de la consola. 
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Estos corresponden también a dos asuntos claves de la aplicación CoronApp-Colombia: la 
implementación del escaneo vía Bluetooth de dispositivos cercanos con fines de rastreo de 
contactos y la implementación del protocolo seguro y cifrado HTTPS (HTTP + TLS). Nuestro 
informe anterior (análisis realizado en la versión de Android^^) había revelado que en las 
primeras versiones de la aplicación había una vulnerabilidad debido al uso del protocolo 
inseguro HTTP para enviar los datos personales y de salud. Este protocolo no permite asegurar 
la confidencialidad de la información transmitida. 

También muestra que los desarrolladores de la aplicación estaban todavía haciendo pruebas 
y querían generar varios tipos de logs para probar la aplicación. En la última versión que 
analizamos a final de agosto los únicos logs que produce la aplicación son los que tienen que 
ver con el servicio de diagnóstico WIFI (wifid), cómo estos: 

Aug 19 16:04:47 iPhone-de-Fundacion wifid(WiFiPolicy)[45] <Notice>: 

[WiFiTrafficFlowMonitor]: Background classifications: [(0xc) :TC_BK,TC_RD] 

Aug 19 16:04:49 iPhone-de-Fundacion wifid(WiFiPolicy)[45] <Notice>: 

[WiFiTrafficFlowMonitor]: co.gov. ins.coronapp 


23 Ya que CoronApp-Colombia salió primero sólo para Android, no sabemos si la primera versión para Apple 
tenía este defecto. Además los dispositivos Apple recientes (iOS 9 y MacOS 10.11 or superior) tiene una 
característica llamada App Transport Security (ATS) que bloquea por defecto el tráfico no cifrado de las apps 
e impone crear una excepción para que la App pueda comunicarse usando el protocolo HTTP 
{ver: ). 
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2. Análisis de tráfico en CoronApp - 
Coiombia en iPhone 

En esta parte analizamos los flujos de datos generados y recibidos por la aplicación CoronApp- 
Colombia instalada en nuestro iPhone. 

Seguimos el proceso normal de registro: hicimos el diligenciamiento de datos personales, 
reportamos un estado de salud con síntomas, y generamos el "pasaporte de salud". Capturamos 
los flujos de datos, descifrando el protocolo HTTPS, con la herramienta de código abierto OWASP 
ZAP^'*, habiendo instalado la autoridad de certificación correspondiente en el teléfono. 

Notas previas: 

1. Cómo hemos explicado en otros informes los análisis de CoronApp-Colombia, 
igual que en otros análisis, estuvieron precedidos de una notificación a las entidades 
encargadas (Agencia Nacional Digital en este caso). 

2. En la documentacióntécnica que Apple publica para losdesarrolladores y profesionales 
(disponibles únicamente cuando se tiene una cuenta Apple), hay un documento llamado 
"Charles Proxy Logs (macOS and iOS)" en el que Apple describe cómo hacer una captura 
de tráfico HTTP y SSL/HTTPS de un dispositivo Apple, con la herramienta Charles 
Proxy, que es bastante similar a la que usamos en su funcionalidad de proxy HTTP y 
HTTPS. De acuerdo con los principios que rigen nuestras investigaciones, preferimos la 
herramienta libre OWASP ZAP^^ 

2.1 Instalación de una autoridad de certificación para hacer 
análisis de tráfico 

Una parte central de nuestros análisis es el análisis dinámico del funcionamiento de la aplicación 
en funcionamiento real. Usamos para ello la herramienta OWASP ZAP instalada en nuestro 
computador configurado cómo intermediario (proxy^®). Es importante mencionar que usamos 
esta herramienta únicamente de forma no intrusiva y pasiva (modo "seguro") y únicamente para 
capturar y analizar los flujos de datos enviados y recibidos por el teléfono y la aplicación. 


24 roxy , también existen otras herramientas del mismo tipo, libre y de código abierto cómo 
MITMx Proxy ( https://mitmproxy.org/) . 

25 prox Una diferencia importante para nosotros entre Charles Proxy y OWASP ZAP es 

que la primera es una herramienta propietaria (con 30 días de ensayo gratuito, después hay que pagar) mientras 
OWASP ZAP tiene una licencia libre (Apache v2.0). OWASP ZAP además tiene algunas funcionalidades de 
pentesting ofensivo (que no usamos en nuestros análisis). 

26 La creación de un proxy HTTP(S) está integrada en OWASP ZAP y se puede configurar desde el mismo programa. 
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Esta captura de flujo se hizo desde un portátil con sistema operativo GNU/Linux Ubuntu y el 
programa OWASP ZAP (actuando cómo proxy) y en paralelo con la captura de los logs internos 
vía Apple Configurator 2 instalado en un Mini MAC. 

Por lo tanto, el iPhone tenía una doble conexión: 


•una conexión WIFI al portátil con OWASP ZAP, actuando cómo un servidor proxy y 
capturando los flujos HTTP y HTTPS ; 

•una conexión USB al Mini MAC con Apple Configurator 2, capturando los logs internos del 
teléfono. 

La figura siguiente ilustra esto: 


Certificado original 
enviado por el servidor 



Mini Mac 
con Apple 
Configurator 2 


OWASP ZAP permite analizar los flujos HTTP pero también HTTPS (HTTP + SSL/TLS). Para lograr 
esto, tenemos obviamente que tener el control del dispositivo que analizamos y añadirle una 
autoridad de certificación raíz ("root CA") de la aplicación^^. 


27 Esta autoridad de certificación se añadirá a las que son reconocidas por el teléfono. La aplicación OWASP ZAP 
generará dinámicamente certificados firmados por esta autoridad para "hacer creer" al teléfono que es el servidor 
web legítimo. 
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La configuración del iPhone -para que se conecte a Internet a través del servidor intermediario 
(proxy) creado por OWASP ZAP- y la instalación de la autoridad de certificación (root CA) se 
pueden hacer vía la creación de un perfil desde Apple Configurator y su instalación en el teléfono. 
Para que este proceso funcione, el iPhone tiene que estar "supervisado" cómo ya se mencionó. 
En la configuración del perfil hay dos cosas importantes: la configuración del proxy HTTP y la del 
certificado de OWASP ZAP^®. 

Es nuestro caso, llamamos el perfil "iPhone-KLab-analisis" e hicimos la configuración del perfil 
de esta manera: 


0 


General 

Obligatorto 

Restrkciorves 


Deminios 


Proicy HTTP global 

1 carga configurada 


Proxy DNS 


Filtre de contenido 


Phon e-K La b- a na I i si s 


Proxy HTTP global 


Tipo de proxy 

Manual _ Q 

Servidor proxy y puerto 

Nombre de host o dirección IP y puerto del servidor proxy 
192.168.0.16 : I 8080 


Nombre de usuario 

Nombre de usuario usado para conectarse al proxy 
I : I 

Contraseña 

Contraseña utilizada para la autenticación en el proxy 


¡Zn Certificados 

1 carga configurada 


i Pernn i ti reludir un servidor prexy para acceder a redes 
cautivas 


(la dirección IP que se debe poner es la del computador que tiene instalado OWASP ZAP, en la 
red local) 



General 

Obligatorio 


Certificado 


, íPhone-KLab-analisis 



Restricciones 



Dominios 



fe 


Proxy HTTP global 
1 carga configurada 

Proxy DNS 




Filtro de contenido 


Certificados 

1 carga configurada 


Tí^ansparencia de certificados 


Nombre det certificado 

Nombre o descripción del certificado 

OWASP Zed Attack Proxy Root CA 


Datos del certificado o identidad 


Archivos PKCS1 (.cer, etc.} o PKCS12 (.p12} que se incluirán en 
el dispositivo 


OWASP Zed Attack Proxy Root CA 

Entidad de certificación raíz 
Vencimientoí miércoles, 31 de marzo de 
2021, 3:11-47 p. m. hora estándar de 
Colombia 

O Este certificado raíz no es fiable 

b Detalles 


■ Ql 


28 Para esto, el certificado se debe exportar desde ZAP e importar en Apple Configurator cuando se crea el perfil. 
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Aquí (arriba) aparece el certificado que exportamos desde ZAP e integramos al perfil con Apple 
Configurator. 


Una vez configurado el perfil, se puede cargar e instalar en el iPhone si este está supervisado. 
Una vez instalado, el perfil debe aparecer en el teléfono tanto internamente (Configuración / 
General / Perfil) cómo desde Apple Configurator: 


• • • 



iPhone de Fundación 

< M'' 

Q isssi V- 


É O 

Atrás VisuaJizacidn 

Añadir Proyectos 

Preparar 

Actualizar Copia de seguridad Etiqueta 


(]) información 
A Apps 
^ Perfiles 
@ Consola 




íPhone KLab-Analisís 


CONFIG 

USB Acce...ed allowed 


Ahora, ya se puede capturar el tráfico HTTP y HTTPS del teléfono, descifrando este último. 

2.2 Registro y reporte de salud 

Lanzamos la aplicación CoronApp-Colombia y empezamos a utilizar las funcionalidades que 
implican el reporte de datos personales. La primera función es el registro en la aplicación. 

Aquí se puede observar el formulario de registro tal como se completó desde la aplicación y el 
paquete HTTP(S) correspondiente enviado, capturado y descifrado con OWASP ZAP. 


4:16 p. m. 
Rcgistrp 


Nombres 

Fundacioin 

Apellidos 

Kánsiná 

Tipo de documenta 
Cádul;» de Ciuddddníd 

Número de docunnertta 
123456S78 

CcEular 
+57 


POST https://apicovid2.and.gav.co/api/vl.0yuser/first-register HTTP/1.1 
Content-Type: application/json 
Connectíon: keep-alive 
Accept: application/json 
User-Agent: CoronApp-Calombia/l.28.23{co.gov.ins.coronapp; build:127; IOS 13.6. 
1) Alaiiiofire/4.9.1 

Accept-Lanquage: es-CO;q=1.0, fr-CO;q=0.9 
Content-Length: 146 
Host: apicavid2.and.gov.co 


{"courvtry code ":" + 57", firstname": "Fundación "/ document number": "123456978", 
"phone number ":"' 3505943410 "/'lastname :'"Karisma "/'document type "CC"}| 
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Se puede observar que los datos de registro (nombres, apellidos, documento y celular) se envían 
mediante el protocolo seguro HTTPS y el método POST. Es una mejora respecto a las versiones 
iniciales de la aplicación (las pruebas las hicimos en la versión para Android), ya que en nuestros 
primeros análisis, se podía observar 

En la siguiente funcionalidad se verifica el teléfono del usuario con el envío de un código único 
por SMS. Cuando se envía este código (por HTTPS), el servidor responde con el envió de los datos 
de registro y un token, que de ahora en adelante autenticará al usuario: 


mTP/1.1 200 OK 

Date: wed, 19 Aug 2020 2i:i8:08 gmt 
ContQnt-Typs! appficatiDn/json; chare@t=Litf-8 
Connection: keep-alive 
Server: Kestrel 

api-9uppDrted-versions: 1.0, 2.0 


{ 'User*: { id": "5f3d96d4¿100dd0000198aad&", "fírstname": "Fundación "/‘lastna me":"|C^sm a"," week of ":" 2020-0&-20T21:17:08.553Z", "active'’: 

" V' j 'laiLLugiii"; "2020-08-19T21;18;07.4328588Z", ‘ cateyui iei»' i iousehuld' ducuriieiiL fiuiiibei 123450978“, 

" rioriimenf typp" : "rC"," phonp numbpr":" ^SOSOíl^íll O",’'roiintry_cí>flp":" +"17", " rroatpflAt ' : " 2020-08-19T21:17:08.5S37", ' uprlatpríAt : 

" 2020-08-19T21:17:08.553Z" " b e arer_t o k en " : 

" eyj ra W QiO ij N a 2F M U H Vs V W VFT2I q d G RVYI gOVm My b U el K2M 2R3k 3UEt US ng z a U 91 b W UOP SI sim F s Zy 16UJTM j y 21 n O. eyj z d WI i O i 12MTEXN D EOYS 04^ 
Q5LTQ1M zUtVj Al N S1 j MTd h OGI zYj k 3MG UiL CJ h d W Qi Oil 2Z WhxN j Rw MmJtZ j ImM 2J ma W xvZ WZ j bj Q?Zy IGI m V2Z W 50X2lkl j o i Nm Qy YTF i MTct Mz F iZ i 00 : 
GJhLWE4OTktMWFiNWM5Ni¥xMmM3liwidG9rZW5fdXNll|oiaWQiLCJidXN0b206Y2VsdWxhcil6liMlMDUSNDM0MTAiLCJhdXRoX3RpbWUiOiElOTc4r 
zE 40 D es I m I z cy 161 mh Od H Bz OI wvXC 9j b2d u aXRvL WlkcC 51cy 11YXN ÜLTE uY W Ih em 9uYXd zL mNvb VwvdXMt Z W Fz d C 0xX3cy OH Ey O EN hM CI s I in 5pY2t i 
¥WllljuiNWYzZDk2ZDQOMDBkZDAwMDAxOThliYWQ4liwiY29ntjiiiíObzplc2VybriiFlZSI6ljViiiM2Q5NiiiQONDAwZGQwMDAwMTk4YWFkOCIbliiiV4LC 
fiMTilSNzo^NTQ4NywiaWFOIioxWTk30nnfOng4fQ.HSNJhiil ?R-.tShX¥X'ínSnbny Y3S3dOFIfna4.wwmlpfi.il I FTgMFjlb..Friij7GJoRG3.fiPwTbkg3V 
dm D7d WTm 9z B C-E LxD7P L W id dMx kStQF 4Gx 3zVe B 6qit c e 04q C NXi TJ UvFfZfn Se n 8jf39cel Oz wl P aNAQa 7n 20xW 7N Ptn 5Q9Lv2s RuXn-4fH O u O Ry hz : 
bH g H S Kt BG Oa F S 5u P D Vb W 2ttXu vzL 6tj 1W N o 7J a RIz SII 8s gx gt 36k 4QHdXz G B YqM 6s C 0 s g a Qp DF Ptl Z OU at GcJ s C cTvN RZ 3129C zs jX W kToe 1 St 80 i LIk 
zínXqVqt4clPN-_ZBiJovR9zcdfkGg"," rcfrcGbtokcn": 

" eyj id Hki OiJ KVl Qi L CJI bm M i OiJ 8 M i U2R0N NI i w i Y Wxn I i OÍ UIN 8 L U 98 RVAif Q. P a Ai p p SXOXTcL 7d3MI axrx Zf EXx L cH-J b O SB z i Y KGTIN AX832a D H hqxz i S q I 
c_G_7YC vmD 07HHXXJ pxYl D dxC j kU gE M m HB p g z 0 2Flx_rTI sXky i kT 6 M 6_1 b ÍCY3_3G w cQM M-f H Vq M cTm Y70 u m 6 H m ETiXU P Ai k k W k9B o Mo n hf 2[v89H 9h 
94juirnEuS8A7JGKAJ60YriPWj4li -pSbD90wBiiiE£nDr wjKLlJyV526axKZU088hli2F4GzjkOF4CFYbHpyle2t:iii9CyriLRyFiiiysXPCwe-CASii8KeyXK4Mw8i 
kR7aGXR 3fS9íipñríePpVNM3ehllq y30bJXgTftfrnjVS«:MxJpg.3.41nqP2R¥hOFI 7Q nFPznníhUQbWniGMrhftSafif 0rSijfbPRVl-hlP-Y7Sh.eGaW.7R3n 
pd c 6 M 68 IJKwn O d E gm pm w r4R7H Q z w qu U W H w 3_r_0mCxM 20 s C16z C D E H 6 mp 1 a 8 D d YXn L 3qp E_P hfj OOL BS g kvVD Bz 28a I Qz QmXS kScBJ n4N p O 7d m r 
KYBUEjjtwkwFt AuZOLJLuBGLhBnK o0x0CrH5VCuwWcVNhMOzPíM7sKHxWjLB0gltJGqwAnXo6D8AsQTfnT01km7n5KE78LhcJJctdyWdQ02Q9F5VP^ 
Vo DTI gM k rN 2F n Cf Et2Hu u o I A W vs RSkbj eSGF u g V24 mZ 2rMHb VRoKP n n e] vpD HMTd j K77rAqtfAW 4h FXj mFX uy a 9t MI Prb oG Gl p h VGz 6 h 29dJ b w 3y 0 w vs_ 
NV71xVYeBcVdiRkiiVaDxrVBiKvisQA5qKw5 8JEkoEyxzkEiNCPIoMaeE7YF92buEBTQ9ZAGiYzNfr74r5dl4McXJN44tEzfUFoqlsZRihl2swF028-ds7M7r 
MmTSTVZ q 3qm c92u H g96S VG e 6 y o-D 5g O o m 5y EfXI U W N O H- 6 n Ay G F P E rLt 4f W 22JxS Sf IG VOU kkxj W p Rfxez z n h i IG BWh 0 w-g i 8 lQg9p ¡N b C OP Qu G 6 H 
crlgO8emeu7YLP7slyhhEyJCAG0E-lLe537yGWZebMNb7 qJLvlsUPoNaeeK9FKwmg-OJqM3EyOHASjulv5!FFtiAOC-kUnZUwNUESpBOh7inTuY4vnOv 
aOTYvlrJ Fiy Ms pD alN Dm vr30u YC H 7y L W 5M D 3mQz RrF h 8 Cy E Ys L e O P sNJ Zp 1 lYI 9o pZ 2F E 36u s kM O all P L-Pfa O e Nte k GI DNy g j d s Q 6 ATrG Y W Wx_ki 85ul7 
V2pf NJ 2s 2u el w s g 7kU 3y P 7E OsJ 35g n D m q DfXz i Om p 3aXT0cR7F Di q R W Z 8 Ti K wTLa 8 M BTN Ds Ld Ht j 1 p m 7R1C 680 4K0vS ga 2C P F 3mB jxa o e 450E 2UtRGÍt 
qhj 5 w m 3rvBi-K4e ooyqzvt c u s p pfi z qj BVbnu nsj BP hm bt w hVI büns Nq n evkhrxz U2X8IF rxojxi I V ü 950 M-p w p Ni s M svu wV m I VüKL 40 z M a I p c g w c 
m-NC n d g hf n RE Hh o YbtkM OM 2jX Z DhI V| 6 ke Z UXUXPu 6 QH e o 44 8 b 59G Put Ey y VI Db gTxeH a O Gjd 2F cLb m4 F g Qqy TQs VE h ASOC QxlV2KkG4 EO w74 ÉM QM 
Mz dXS6V48U v63j d AO NZ Y Qn gxfó/PU V w IVZ lü I j e rfy s eQCz e p ckL U 0 4te O 0-IM KU L vm YG j u 15p7k W cD 88 p 2a dy rrc3DP U7e:0Tm WX-w. n RL GK7CZ-n vi HI 
OLPOLRkg“, "suceess":true, "error' :false/'mes 5 age":" Pin verificado", "response_eode : "VERIFICATION_SUCCESS"} 


Este proceso de autenticación - para enviar o recibir los datos asociados a sus usuario - también 
corrige una vulnerabilidad importante que habíamos detectado en nuestros análisis de las 
versiones iniciales de la aplicación y que habíamos reportado a la Agencia Nacional Digital (AND) 
y al MINTIC29. 


29 Inicialmente no se usaba el token de autenticación que se puede observar aquí, la autenticación sólo requería 
un número de usuario hexadecimal y secuencial. Con la forma de autenticación previa (sin token) se podía permitir, 
conociendo el número de un usuario, acceder a sus datos y los de otros usuarios. Esto se reportó en su momento, 
en nuestro informe previo. 
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Como ya se dijo, otro punto que se ha mejorado, desde el punto de vista de la seguridad digital 
de los datos personales se puede observar en envío del reporte de salud: 


SnSIM ? A-.Mjywn. 

Aijtodiagrt6$t¡co Fundación 

Seleccionú los síntcnricis 
que presentas: 


Fiebre 



Dólar de garganta 



CóngristlAn nasól 

O 


/i Toa 

o 



POSI https:/;apíOO^d:¿.and.gov.co^díagnosis/apürv::¿.o;que«tian KITPyi-i 
Cnntnnr-Typn: appllr^tian/l^nn 
CariLunl-L«riylli;; 1363 
dannectíon: Iceep-alíve 

Ajccirpl: .iiiplii 

User-Agent: CarDnApp-ColambiaJl.2fiL23 tco.gov.ins.coronapp; build:!??; iOS l^Chll A1ainafjre/4.9.1 
Authorlzatbon: □ e arer eyjraW QlOlJNa 2r MUb IVsVWvrTZlqdGllVYlgOVmMybUclK2M2na(l( lUCtUSng zaUQlb WUOPSIgImr sZy l6lliTMjü3ln 

eyjzd WllUirn^T hxHUb DYSIHYT q:iL I QlMz Ut V jyu N Si jM T dhoül zVjkaHU UiL LlhdWaiUtlZZWhldM jHwMin|t¿jMM2|ina WxvZWZjbiQzZyrElnií 
2Z W5ClK2lkl|olN mQy YiriMTítMzr I ZlCOZGJbL WE 40TktM WriNW MSNjYxMmM 31 IwldCSrZ W5f dXNlIJo Ja WQlLCj|dHNDb2aeY2Vgd WithcIbeiiN 
1 MnLISHnHOMTAil CJhdXRuK3RpbWlliajF10iT{4N^F4Y>n[.»l[iil^4LyJfil:[nhQdHR^fllwvMC^jt>?du,iiXHvl WlhcC'il lyl irXHRI TFiiVWllii'im^jVXi 
z LmNvb VwvdXMt Z Wh zdC OKXJcyUJHbTUb NbMtlsIm'jpyztuY WilIjokN wrzZDkZZDgDHUlíkZUiAwHU AxU1 bhVW<MliwÍY29nbiTi10bz pie: 
fainFr7sibijvmM2qeNniqaNnAwZGqwMn&wMrTk4¥wrkocisiinV4rci(iMnj'^Mzq3ifTQ4HyiNJawrni[nxNTk3onnro[>(|4tq.iisNjhiji 2n- 
tab}<Y}:»Sob Dy Y3S 3dQEKrM4-¥vwui Ip v-iL LElg MFJIb-F G uZ BG 3-srwTbky2VdinD7dWTin3ze C- 

t Lxü Al LWl ddMxkStgF4üx3ZVeHOqítcetHqCNXi r fUvI-fZfnUenUjf^fycelOzwlP aPIAga /nZOxW ÍN PtnL.uaníísKuKr. 

AfHDunRybz ThHqHSKt RGO .TFSStlPPvbW 2rrXljÜ7L fif]! WWO T^aRlzS 11 if-.flKfir 3fihaíJHdXzGsYllM fifi C nfin-'>QPF3F PflZOlJ atGrJfi.CmiHRZZl 
CzbjKWkTufl lSIBuíLluzlPKgVyH(.IP N _ZBucivFl9z tülkGy 
Anept-Lanyuaye: ag^Uiq-l.UL fr-LU;q-U.y 
Flnpit: ¿■pjc«viil7.;in[l.qav. ■:[■ 


( id IIMJ .trii» SI3ijnfÑJ44H)rl[líX)Ofil .. iiJ idimlú": ", 'pi i'ijiirit .i :(( iil' : ' ■ b.]fi0SSn^07bh2-47[l.i-fh-7P-30 e .iTOliRÍLidcl^ 

r« gpuesta ^ : ['a 3e jdHef-WO'l -1-al ZTeUir, ' fZe / 7a bt:;-cld ^14db-BJal-ITj 72Z2i;a dfzb^ 

a Ifí51a 9^65a-4f2a .b0b9-46 Ja 2b Jd94ba ■ 45OdeD3Ci.b920-ai92-beDl-0bOb21a« 7361 ']J , t Jd : 
itJbi8L^-j47d-4l05-0bb6-b3i.ücDüdBkd , ic;>puc-.la:p :l'42l&a2til d4ic^43ü-bCÍI4-db0bl6(.ü3j07^ 
lelb2UUb)^eU9b.4aLid.bcdf.01Libü;ja3«Lifd't>^{; id :"jaldd7ae4]Wj^4Jm.a/c»-d3dtJ2abbbOdI', regpLiefitag :[ 

?4h (^ff ña-rJh4-4b6í1-í^-J10-1 a p WWVa T47 , ' adl h4rl fJ-0302-4Sa adib 57-a606Sf01 ftf46' , ‘ 4ft7324S4.p5í‘a-4f70-0íi4b .41 ssdah ri4ff a']} , t 
t «tpuvEl : [" 712917411 «l7cI -4149-b4d 5-0«965l997674- , ' 97734(.99-l 6ttí-4615-b 176-19S55bd MJ37d-, 

i edcd2y2-ceU2-45be-b4J. /-cf 329 Jd 41 cbcr },' id' : ' Ja aba 7d 3-5 Jce-4116d-af 22-71 UfU 3f 5b Ufe" ) , reg p ueft as : [ 
nbrrTnisr-rfnf-4dfJ(1-0677-■iB47rbIfrfiflO ¿ JiJ ! ‘ rSfidfifcH-Oobn-anrtn-fPír^í-bhhSflbOriOTS.i' },( ¥<»spu r -firas : [ 

09930739 3Ccc1ta9-92d 1 -S23íd 1e964cd'/ d269aS41-9bd 3-lea C-fi2a 6-ca9e 73í0e3ba", ' c303c0d^-e9a6-'1272^Gd 2-2b!^0dC«eS‘ I, i 
■ b470e479-e Oe4-4f5t.93aO-d a 5e 3afe LSf J' I , ( re sp uest as ; [ ' 22cf J92MMc^9f6-bOf7-&6cDbb 9bb bd J ’], Id r 
504rí!qfl4-.iiJ37-4H’.iB-b779-il5í>ii5[9iJSld<r>¿ íi-i li.i :'l íWfl«l.''?0?m fielR:OCT, limiiiluiJi' ':--74.050*mFH Í1140r, dl.j t|rii»..I i t ii : 

1 Íí-J JtJUf 5-lOlb -4 /f 2-a 7f b-ZObedOJ JZÍjZd \ ' lal ilu de’ 70 723-jíii 1340 35 r. di vico Jd: ' BOU- UUOljHai bt ^Ih 3-BÍJ5/-2 THlOOOWt Ot" } 


Se puede observar que los datos de salud también se envían ahora con el protocolo seguro 
HTTPS (método POST) y además en una forma codificada en el contenido del paquete. 

Al final de este paquete de datos, se observa también que la aplicación envía las coordenadas 
GPS del dispositivo (partes "longitude"y "latitude"). Este uso de la localización sumada al rastreo 
de contacto, ha sido criticado tanto por nosotros cómo por muchas organizaciones en el mundo, 
en una perspectiva de privacidad. Sin embargo, hay que reconocer que el momento del reporte 
de salud es el único momento en el que detectamos un envío de la ubicación, lo que corresponde 
a la información entregada al momento de dar la autorización de acceso a la ubicación (ver parte 
1). Esto plantea nuevas preguntas, ¿de qué sirve tener esta ubicación?, la persona podría estar 
en cualquier lugar cuando hace el reporte, en su casa, en su trabajo, en el bus, en la calle. 
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2.3 Rastreo de contactos por Bluetooth 


En otras publicaciones, ya hemos explicado y criticado la implementación del rastreo de contacto 
digital en su forma centralizada y su combinación con la localización por GPS. La intrusividad 
de este modelo y las dudas sobre el respeto a la privacidad de las personas usuarias de estas 
aplicaciones, hizo que Google y Apple desarrollaran un protocolo diferente y que ofrecieran 
un API a los gobiernos para tener aplicaciones "descentralizadas" y no almacenan de forma 
predeterminada los identificadores de los dispositivos en un servidor sino localmente^°. Dentro 
de las condiciones de uso del API de notificación de exposición al COVID de Google y Apple hay 
una prohibición explícita a que la aplicación pida el permiso de acceso a la ubicación^' que se 
controla al nivel del sistema operativo. Es decir, una aplicación que pide acceso a la ubicación 
(cómo Coronapp-Colombia) no puede usar la API de Google y Apple^^ Probablemente por esto, 
las autoridades colombianas decidieron usar otro algoritmo y protocolo para la notificación de 
exposición: BlueTrace^^. 

En el análisis de tráfico de la aplicación en iOS, se pudo observar este uso del rastreo de contacto 
por Bluetooth vía la implementación "OpenTrace^'^" del protocolo BlueTrace. Aquí, se observa en 
esta solicitud y su respuesta hacia los servidores de CoronApp-Colombia (dominio "apicovidZ. 
and.gov.co"), la generación de los identificadores temporales, enviados por el servidor a la 
aplicación: 


POST https://apicovid2.and.gav.co/opentrace/apiAfl.0/rempld/generate HTTP/1.1 

Contení-Type: application/json 

Contení-Length: O 

Connection: keep-alive 

Accept: */* 

User-Agent: CoronApp-Colombia/127 CFNetwork/1128.0.1 Darwin/19.6.0 

Authorization: Bearer eyJraWQiOiJNa2FMUHVsVWVFT2lqdGRVYlgOVmMybUclK2M2R3k3UEtUSngzaU91bWUOPSIslmFsZyl6IIJTMjU2lnC 

eyJzdWliOil2MTExNDEOYS04YTQ5LTQlMzUtYjAlNSljMTdhOGIzYjk3MGUiLCJhdWQiOil2ZWhxNjRwMmJtZjlxM2JmaWxvZWZjbjQzZylslmV 

2ZW50X2lkljoiNmQyYTFiMTctMzFiZi00ZGJhLWE4OTktMWFiNWM5NjYxMmM3liwidG9rZW5fdXNllioiaWQiLCJ|dXN0b206Y2VsdWxhdl6ljM 

lMDU5NDM0MTAiLCJhdXRoX3RpbWUiOjElOTc4NzE4ODcslmlzcyl6lmh0dHBzOlwvXC9jb2duaXRvLWlkcC51cyllYXN0LTEuYWlhem9uYXd 

zLmNvbVwvdXMtZWFzdCaxX3cyOHEyOENhMCIslm5pY2tuYWllljoiNWYzZDk2ZDQOMDBkZDAwMDAxOThhYWQ4liwiY29nbmlObzplc2Vy 

b m Ft Z S161 j Vm M 2Q5N m QON D A w Z G Q w M D A w MTk4Y W F kO CI s I m V4cC 16MTU 5N z g 3NTQ4Ny w i a W F OI j oxNTk30 D cxO D g 4f Q. H S NJ h u L 2B - 

tSbXYX5DSobDyY3S3dQEKha4-wwoilps-iLLElgMFjlb-FGuZGJgBG3-sPwTbkg2VdmD7dWTm9zBC- 

E LxD 7P L WI d d MxkSt QF 4Gx3zVe B 6q it ce 04q C NXi TJ UvFfZfn Be n Bjf39ce 10 z w IP a NAQa 7n 20xW 7N Pt n 5Q9Lv2s RuXn- 

4fHOuoRyhz2bHgHShaBGOaFS5uPDVbW2ttXuvzL6fjlWNo7JaRlzSll8sgxgt36k4QHdXzGsYqM6sCOsgaQpDFPflZOUatGcJsCcTvNRZ3129 
C z sjXW kTo e 1 St 8o i L Ixxz I PXqVqt 4cl P N - Z B u ovR9z e dfkG g 
Accept-Language: es-es 
Host: apicovid2.and.gov.co 


30 Para más (detalles sobre este tema, se puede leer este artículo en nuestro sitio Internet: 

https://web.karisma.org )li^.a<.iunes-de-rastre( i gital-de-cor ra-que-zapatos-si-no-hay-casa/ 

31 Extracto de estas condiciones: "Your App may not request the location, Bluetooth_Admin, SpecialAccess, Privi- 
leged, or Signature permissions, or collect any device information to identify or track the precise location of end 
users.", 

htlpj.// [I( /documents/72/Exposure Notifications Service Additional Terms.pdf 

32 En el momento en el que escribe este texto, Google ha publicado aplicaciones que pueden ser usadas como base 
por los países para sus implementaciones nacionales y Apple esta por hacerlo, 

https://www.googl com/covid19/exposurenotifications/ 


33 https://en.wikipedia.org/wiki/BlueTrace 

34 https://github.com/opentrace-community 
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HTTP;i.l 200 OK 

Date: Wed, 19 Aug 2020 21:10:08 GMT 
Content-Type: application/json; charset=utf-@ 
Tonnertinn: keep-aliue 
Sen#er: Kestrel 
api-supported-versions: l.D 


{"templds":K"templD": 

" q i QRo h h U 4lj C 9p S 5LEQr717s rvB H M rs 5li 19Y w i R+a s Kw G r B1M Z b o VB 817h O M m n Yl I Gc5Yq Wy Kí 98E 7H pgKe VI 6Un a m/Dx90C vg z 19U66sXu I=V 
" startTime' :1597871828, " expíryTime' :1597872728l, { "tempID" : 

"gJNm2vO6fvGqwC41Ni5Z0bPCdY2YT/H0zQqDQc/GMUPeE8ClnrhlGfFBLp/7ní>KKi vB/fTEt8KZml2tMvLU/YNfTiTN|lg6b&B/yFRKr2í>A-", 

" startTime":1597872728, " expiryTime ":159787362a}, { "tempID " : 

" xZvW O P m OE ay S a rQt Rvz 88iv5Kt Z RdTf u Q5 W Cp6B a RE n z W w z D + bw rj dXJt Ul QYSxmxjt e P1 z E P¥/2/y Z h rU P m A7N E h U D g L179v2 W G 9QK9j Z Q=% 
" startTime" 11597873628, " expiryTime ":159787452a}, { " tempID " : 

"" e Zu B 92z i Z W/5S SJ O Y5B 3u 4VNQe 3Dt VIW 9m+7EfL M P QGJ Ik W + G 2jkl Ot QS j W49C 51X2B2XKF F AsO/8IT9QOq 15611 j NDs Rl o bxsN rs s KJf Z w="" , 

"" startTime" :1597874528, "" ex piry Ti me"":l 597875428}, { "tempID" : 

""maJj2+NDYolb7w+YLNzw90xnkKJvYf+eY2lhGv8oFOu2IKLe2xRB&5Kk+boKF4mPUnEeUalpyH3Bu8BWmHl+abndiziCaCWXGWj2GyxT9lg=", 
"" startTime" :1597875428, " expiryTime :1597876328}, { " tempID " : 

"" j VOt s n QN a H M Z d kA7+cH w ry IM Ob m vgf ie s R70f uG 6kH p KfYb rH rd raxhX7e s Km j KE z O 4M m DT9QA002R4Dfi 6Xa Y+61L N IxKb nTh G OG vS s +1 g=■" , 

"" startTime ":1597876328, "" expiryTime" :1597877228}, { " tempID " : 

"" c NKq 9p M d Y+Fxl + o 411 i dTzy U 3vVO L1S eH H P 7u QO wTq k P Rvg I u rRf ne kKI s + eK5i M Al k bTP Z 2SI Db kf 1+F W WP G VS cY8n 8RP hN E e V/m 3m VVTA=", 
"" st artTi me": 1597877228, "" ex piry Ti m e " : 15978781 28} , { t em p ID "" : 

""HWiaxQCLkNSZ7sjYNLvVdSTJLUBvxGZdFRX/kQ9ClQdNugtmmB2EMtyX9W5ee4dDLFygt4BvKkEguHIQaait2inyirMG/phWld5naab7Q10="", 
StartTime :l597878l2a, expiryTime :1597879028},{ tempID : 

"" p/f 4 /j Oj CJ QZy L OZ caTTy 3Tz 16ck8D g n 12M kd 7H G W D j QC QO 7Rj E u 5F RxH H aA4UtfA32U Yl Sy ny a NH KAVU 04 3of U QMl OvH VR6DXA5071Dt G 0= "" , 

"" StartTime" :1597879028, "" expiryTime" :1597879928}, { "tempID" : 

""l6lBKÜT4dlqhlVJwAp3rrTAtTzodcqOqLlycudz3q3lDgR0HV1907DI2CLpRVYNMkLwoq0Q5uJeRGUHSgRvu9ZBEB/nlNwpwkWlkBjmV6eiQ="", 

"" í;tartTimc':1507B70D28, "" CKpiryTimc": 1597B80G28}, 1 "tempID" : 

"" E KP 9M VL C W Rl n 8m/e8l + d p q U836E QVcF KC 2y w nO/QrM I z 4 O u O 4ARq O M 8 w ka K3a G+YF bTo a k ZUxO/n C Oíd s 6J z i j I vUXYi N s Bkq qty x9gS j 1 Y="" , 

"" StartTime ":1597880828, "" expiryTime"":1597881728}, { " tempID " : 

"" 66e w jT6vrop S kfxU OMAhxS rFy U W qy Grt S P G u V w E b k VuTZ e w WJ kvd/sx5YVfAYcuThy iS F j FT7NH h m Hxd 9q 2XF P 6ArOG q k nN C Yn 3n FB5j I="" , 

"" StartTime ":1597881728, "" expiryTime" :1597882628}, f " tempID " : 

"" + D08Xph9Rmz+NJtQsOQwaWl/LG/4lHCinE2mMewsoJnyFuzWQ/WgHW6/7vT3NFEj6AKt3DJUfDlw3xYRoullkOm/DtE3mL|kyhyLYhtiDLU="", 

"" StartTime ":1597882628, "" expiryTime" :1597883528}, { " tempID " : 

"" N K/n py C U ale Z Ob b jT 3kn Qc YxM RF13KxE 25U u RUP Vvb m j Uo e An e reZ Vrf F 5Qx/n aj cc 2IHV30S S d W o D 24VhU XH O 2Zíxl RP 4a BC 81E rOl z c 3AU="" , 

"" st artTi m e : 1597883528, "" ex piry Ti m e ": 1597884428} t em p ID "" : 


El hecho de que estos identificadores sean generados y enviados desde el servidor y no 
directamente por la aplicación es característico de un protocolo de rastreo de contactos 
centralizado, menos protector de la privacidad. 

2.4 Estatus o "pasaporte" de movilidad 

Después de haber completado el formulario de registro y de reporte de salud (reportando 
síntomas), se puede completar otro formulario para generar un "estatus de movilidad". La 
terminología que se muestra es una y es interesante analizar que en la dirección (URL) contactada 
para generar este "estatus" la terminología es otra: "pasaporte" (passport), cómo se muestra 
aquí en la captura: 


POST https://apicavid2.and.gav.co/jpasspai1;/apiA/G.0/QRygenerate HTTP/1.1 

Content-Type: application/json 

Contení-Length: 54 

Connection: keep-aiive 

Accept: application/json 

User-Agent: CoronApp-Colombia/1.28.23 (co.gov.ins.coronapp; build:127; iOS 13.6.1] Aiamofire/4.9.1 

Authorization: Bearer eyJraWQiOiJNa2FMUHVsVWVFT2iqdGRVYlgOVmMybUclK2M2R3k3UEtUSngzaU91bWUOPSIslmFsZyl6liJTM]U2lna 

eyJzdWIÍOÍI2MTExNDEOYS04YTQ5LTQlMzUtYjAlNSl]MTdhOGIzY]k3MGUÍLCJhdWQÍOÍI2ZWhxNjRwMmJtZ]lxM2JmaWxvZWZ|b|QzZylslmV 

2ZW50X2lkijoiNmQyYTFiMTctMzFiZi00ZGJhLWE4OTktMWFiNWM5N|YxMmM3iiwidG9rZW5fdXNll|oiaWQiLCJ|dXN0b206Y2VsdWxhdi6ljM 

lMDU5NDM0MTAÍLCJhdXRoX3RpbWUÍOjElOTc4NzE4ODcslmizcyl6lmh0dHBzOiwvXC9jb2duaXRvLWlkcC51cyliYXN0LTEuYWlhem9uYXd 

zLmNvbVwvdXMtZWFzdCQxX3cyOHEyOENhMCIslm5pY2tuYWliljoiNWYzZDk2ZDQOMDBkZDAwMDAxOThhYWQ4liwiY29nbmiObzplc2Vy 

b m Ft Z S161 j Vm M 2Q5N m QON D A w Z G Q w M D A w MTk4Y W F kO CI s I m V4cC 16MTU 5N z g 3NTQ4Ny w i a W F 01 j oxNTk30 D exO D g 4f Q. H S NJ h u L 28 - 

tSbXYX5DSobDyY3S3dQEKjia4-wwoilps-iLLElgMFilb-FGuZGJgBG3-sPwTbkg2VdmD7dWTm9zBC- 

E LxD 7P L W i d d MxkSt QF 4Gx3z Ve 8 6q it ce 04q C NXiTJ U vFf Zf n 8e n 8jf 39ce 10 z w IP a N AQa 7n 20x W 7N Pt n 5Q9L v2s RuXn- 

4fHOuoRyhz2bHgHSKtBGOaFS5uPDVbW2ttXuvzL6fjlWNo7JaRizSil8sgxgt36k4QHdXzGsYqM6sCOsgaQpDFPflZOUatGcJsCcTvNRZ3129 
C z sjXW kTo e 1 St 8o i L ixxz i PXqVqt 4ci P N - Z 8 u ovR9z e dfkG g 
Accept-Language: es-CO;q=1.0, fr-CO;q=0.9 
Host: apicovid2.and.gov.co 


{ "■ userid"' : '" 5f3d96d4400dd0000198aad8'", "" options'" : ["" N""]} 
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En un momento en que la aplicación CoronApp-Colombia - a pesar de la falta de base legal para 
esto - se ha promocionada como obligatoria en ciertos casos, por ejemplo para viajar en avión 
en el país^^ esto no es anecdótico. Esperamos que no se traduzca en una intención de poner en 
las manos de la sóla tecnología y de algoritmos que combinan un análisis automático de auto- 
reportes de salud asociados a su localización, combinado con rastreo de contacto, la entrega de 
un "pasaporte" de salida y viaje. 


Aunque por un lado se anuncie -por parte del gobierno- que el uso de Coronapp-Colombia 
es voluntario, por el otro, se expiden normas donde la aplicación es un requisito para realizar 
ciertas acciones como ir al lugar de trabajo o viajar en avión, lo cual hace la aplicación obligatoria 
para ciertas personas. Esto va en contra de los principios éticos dispuestos por la OMS para 
este tipo de aplicaciones^® donde indica que la participación en estas iniciativas por parte de la 
población debe ser voluntaria. El hecho de que la aplicación tenga una sección con un estatus 
de movilidad basado en el color de un código QR -copiado del modelo Chino- y la obligatoriedad 
soterrada en normas específicas, dejan serias dudas sobre la intención del gobierno de mantener 
el uso de Coronapp - Colombia voluntario. 


En el caso de Fundación Karisma, que 
reportó fiebre y malestar, el resultado no 
fue muy positivo (con un nuevo reporte 
y un nuevo pasaporte generado el 31 de 
agosto del 2020): 


ENTENDIDO 

Debes contar con un 
autodiagnóstico de las últimas 
24 horas para generar tu 
estatus de movilidad 

ENTENDIDO 


Sin SiM 

4 - 


7:00 p. m. 

Mi estatus de movilidad 


No autorizad^», no 
cumples con ninguna 
excepción 



Bluetooth activado 

Dg acuGrdo con lo quG has declarado, tu razón 
no se encuentra en las excepciones establecidas 
por la normas, nt los lineamientos anteriormente 
mencionadas. Debes permanecer en aislamiento 
preventivo obligatorio. 


35 Ver por ejemplo este artículo del Espectador: 

https://www.el( r.com/n nomia/cuales-son-los-requisitos-para-los-vuelos-nacionales/ 

36 https://www.who. int/publications/i/item/WHO-2019-nCoV-Ethics Contact tracing apps-2020.1 
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No existe documentación o pronunciamiento alguno por parte del gobierno o los desarrolladores 
de la aplicación donde se expliquen los criterios usados en esta funcionalidad, no se sabe a 
ciencia cierta cuál es su finalidad ni qué parámetros o condiciones se usan para decidir si el 
código QR está en verde o rojo. 

2.5 ¿Qué datos recibe Apple sobre el uso de la App? 

Quisimos ir más allá de la política de privacidad de Apple para responder a la pregunta sobre los 
datos que recibe Apple del uso de la aplicación CoronApp-Colombia, en particular para confirmar 
el hecho de que las autorizaciones vinculadas con "SIRI y Buscar" no implican transmisión de 
informaciones sobre los usos detallados de la aplicación cómo datos de salud por ejemplo (ver 
parte 1.3). Lo investigamos por dos vías: 

1. vía una búsqueda en la captura de flujo que hicimos; 

2. vía la posibilidad de descargar los datos personales almacenados por Apple, lo que 
se puede hacer desde el sitio web de la compañía^^. Esta funcionalidad se propone para 
responder a la exigencia legal de acceso a los datos personales presente en la mayoría de 
las leyes de protección de datos del mundo^^ 


En cuanto a la captura de flujo, sólo 
dos paquetes dirigidos a los servido¬ 
res de Apple contienen "coronapp". 
El primero es el siguiente: 


PO 5<T htt ps:yi|p 7D-buy. itunes. a p pl tObj« ct &i'MZF abtFínance. wca/wa/inAppC hieckDo wnload Oueue H1 
X^pple-Tz: -10000 

riiHikii-: K-F>^¡lj -1 7 ? 7 ClAn 741 7 ^ ml-nwt-b- Rp .il:-! i -7 i i «HriWlni: - 7 i I:|li4: :»rr 7 JI ivjl 1 bm i 

fffffffflJaLiad!0y'1!;:iiüd:if'1f:i«-i:;:ie'1'a:ja4a'T7J/»b; wosíd-lite-UnivC/VaUgVDZxIqbhiiiiHbiCw; iiiz_at_Bsl-l /2/vm/J\ 
ñwQAAAr.L Uh íquQAAAAnef^AVtm^Mrotcipd f mqrJCKjni LJK+ üf INOLf OIJ ntlYVPlIflf d-1; Xt-h^ !i-1777nnn741 ?-1 ^ 
3700139 70-nir 23; xp_ii-3z2GÍ RH5zC L9z52S,fC6QzJíiiRjSM; ttvp-C PSii!>64AEq Q\CBME yQI C RAAEyQUUiMEgQIA 
AAAJUUUUUUI OLxUrnikJltywbKUnbUVLnl ibKu/jnkJIUUIirdHdlHgMNjbC/bdinüJbpdUF OqFfaUyUYbqfUobbzl Ci Jl 
RTririni LI Ri-qyI :}v[l77FpkrRP [iriTVRc' pw¡l i .iflTfíFvHFIIñlOZCq qHHwI F WvrQ) V[ÍikR]FVMK ílflr:)[|37rAt wq 7wRV<iV 
■c:?niil vpnEon-'l.D' pnfndlriq-'LJTr-fi'Zb 

■^IDOCTYPE plibL PUBLIC “ /^AppIvJ/DTD PLIET l-OTiiEI^" '‘htLp:/Avww.applii.Lurn/[>T1}b/Pru|;«rtyLiiil-l.aüld^? 
<plist version-'l.ir> 

[IÍeI > 

<key >a pp Ad amld-<:/key> 

ringbl 502C^7640^/st^Engb 
ch■■y ».j ppFid Vr %1d </hi-y » 

^:string;>-y3/llib'jV0<;Btrjrgp 

c!i tr íriy?f.u. yuv Jiib.CDriinap|l<yb.Lríny > 

<key bhvrs^^key > 

cvt r ¡Filial 77</%l I iiiq » 

<key ui d</key > 

<Btrlnqbe^bff396e4012fl7672eOf2fOfb43f}aa9ec425c7</strlnq> 

■chi-y ^bviíalNuinbL'i 'c/kcy?' 

<strinq>ü)tiZW9AJKU /!■ =:/string> 
dkry bulfl d^koyb 

<^tring>BCFF9DO^-3IEE-11E3-BD^7-27SLO6O»C0E<:^Btriny> 




37 Hace falta primero conectarse con su Apple ID desde esta página: https://privacy.apple.com/ 

38 En Colombia, el artículo 8 de la Ley 1581 de 2012 (“Habeas data") se refiere a este derecho: "El Titular de los datos 
personales tendrá los siguientes derechos: a) Conocer, actualizar y rectificar sus datos personales frente a los Respon¬ 
sables del Tratamiento o Encargados del Tratamiento." 
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Transmite vía el protocolo HTTPS al subdominio "itunes.apple.com" la referencia de la aplicación 
usada, junto con su versión, los números de serie y de identificación de nuestro dispositivo. 

Estos datos se encuentran también en uno de los archivos recibidos vía el pedido realizado en 
línea a Apple: 


Resultado del derecho de acceso a los datos personales 

(“Datos y Privacidad”) 

Resultado Global 

Extracto del archivo "iTunes and App-Book 
Re-download and Update History.csv" de 
la carpeta "Información sobre los servicios 
multimedia de Apple^®" 

Datos, y pilvacMad 

Fecha Oe la soticllud: PU eUi i .nar c-siu capss 0 

DiSfMftitii* hittaair 10 ^ 0 / 2020 . 4:11 pm 

aofvipias imJtirnrdia de- Apfilv ti 1 l<B 0 

Intcirtnáeión BObre-b cumUdc Appír Dy H „ 

tílSfKkfilbvd 

D A|ijp4a<»ilin«Sto4«yA|iole5i(ir« 4Taytea0 

AíbIMiHl «A Aplate 

* Af¥4»C-in Nohvdiltoi 0 

9 Oams cantar 2 kb ® 

Marc-sdcKieE ickiud 445 Sy1»i 0 

\2 2 «6 © 

Í| 1 CDntacCo&d« iCkiud 4iaeyt»«0 

NotsideCfeud Mobayebrto? O 

S CofnuniiLadaE da mailuiling SQa OyliK 0 

Apple ID Number: “17270887412" 

Activity Date: "2020-09-03109:11:15" 
Content Type: "iOS and tvOS Apps" 

Item Reference Number: "1502037648" 

Item Deseniption: “CoronApp- 
Colombia" 

Versión Text: "1.0.29" 

Sellen: “Instituto Nacional de 

Salud" 

Device Details: “AppStore/3.0 
iOS/13.6.1 model/iPhone9 

3 hwp/t8010 build/17G80 (6; dt:139) 

AMS/1", 

Device IP Address: "186.31.XXX.XXX"^® 

Device Identifier: 

396e4612fl7672e0f2f8fb430aa9ec425c7" 


Se puede resaltar que las fechas/horas de este evento registrado en los servidores de Apple 
y del paquete de datos mostrado más arriba coinciden. De todos los archivos entregados por 
Apple - que corresponden a la información que almacenan en sus servidores vinculada al Apple 
ID de nuestro teléfono - no hay otros archivos, de los recibidos, que contienen "coronapp". 

El segundo paquete identificado tiene cómo destino el dominio "gsp10-ssl.apple.com"y contiene 
pocos datos además de la identificación de la aplicación y de la características del equipo. Una 
parte de ellos son cifrados o codificados. 


39 Hay otras líneas como ésta, correspondiendo a otros momentos en los cuales se usó la aplicación. 

40 Aquí se ofusca el final de la dirección IP pero en el archivo recibido, estaba completa. 
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POST https://gsplO-ssl.apple.com/au HTTP/1.1 
Content-Type: application/x-www-form-urlencoded 
Connection: keep-alive 
Accept: */* 

User-Agent: locationd/2394.0.33 CFNetwork/1128.0.1 Darwin/19.6.0 
Accept-Language: en-us 
Content-Length: 178 
Host: gsplO-ssl.apple.com 

[][]en_US[]com.apple.locationdl3.6.1.17G80f™ 

D 

QDlOlAPnniPhone OS13.6.1/17G80n[ 

□co. gov. ins. coronapp[][][]x' n^@" j DrvD@ÓD@DDU ® MÓ[]RÁ[][]B-Átj[]E5[][|AIDY%PávÁAh[]08yyyyyyyyy □ 


Al final, todo parece indicar que la información que se colecta sobre el uso de la aplicación es 
poca y no tiene que ver con su contenido o con informaciones de salud. Los envíos parecen 
indicar a Apple que se está usando la aplicación, en que versión y junto con los identificadores 
del dispositivo. 
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Conclusión 

A lo largo de este artículo, describimos el análisis que realizamos a la aplicación CoronApp- 
Colombia, instalada en un dispositivo Apple, un mundo que hasta hace poco K+LAB no conocía 
mucho. A través de estos análisis, confirmamos que no es fácil abrir el capot de un iPhone. Este 
está bien sellado por el modelo de Apple y poca documentación está disponible para hacer este 
tipo de análisis. Además se necesitan herramientas de Apple para analizar dispositivos de Apple 
(por ejemplo Apple Configurator que sólo se puede instalar en un MAC). Sin embargo, teniendo 
herramientas y un dispositivo supervisado, se puede ir bastante profundo, entrar en el archivo 
de instalación de la aplicación, analizar los logs internos del teléfono y los flujos de datos cifrados 
que transmite y recibe. Otra posibilidad interesante es descargar los datos almacenados en los 
servidores de Apple y asociados al dispositivo, en conexión con el derecho de acceso a los datos 
personales. 

También nos sorprendió constatar que el mismo modelo de la aplicación analizada es 
sustancialmente diferente en cuanto a la información que ofrece a las personas usuarias como 
los permisos que concede que son más limitados y por tanto protegen más la privacidad en 
Apple que en Android. Tuvimos una duda en cuanto a los permisos vinculados con "SIRI y Buscar" 
(activados por defecto) y la posibilidad que se transmitan informaciones detalladas sobre el uso 
de CoronApp-Colombia hacia los servidores de Apple. Sin embargo, nuestras investigaciones 
apuntan a que no se envían estos detalles. 

En cuanto a la CoronApp-Colombia, este nuevo análisis confirma que su seguridad se ha 
mejorado después de nuestros informes de seguridad digital y privacidad de abril. Sin embargo, 
se mantienen las preguntas respecto a la privacidad (ver los numerosos artículos en nuestro 
sitio), en particular la combinación del uso del protocolo Bluetooth centralizado (BlueTrace) 
para hacer "rastreo digital de contacto" o "notificación de exposición" de Covid y con permisos 
de acceso a la ubicación. También mantenemos los interrogantes sobre los criterios que usa 
la CoronApp-Colombia para emitir un estatus, que en la práctica terminan volviéndose un 
pasaporte de movilidad, como bien lo expone el nombre de la funcionalidad en el API. Los usos 
que se están dando a esta funcionalidad y las condiciones en las cuales se pueda imponer su uso 
preocupan en la medida en que las recomendaciones internacionales y buenas prácticas sobre 
este tipo de aplicaciones indican que el uso siempre es voluntario y que no se debe obligar a las 
personas a utilizar ni a reportar su estado de salud por medio de este tipo de aplicaciones. En 
cualquier caso se debe dar la información apropiada y contar con mecanismos alternativos que 
permitan garantizar dicha voluntariedad. 
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